Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für das IT-Produkt stepnova in der Version 4. im Auftrag der ergovia GmbH

Größe: px
Ab Seite anzeigen:

Download "Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für das IT-Produkt stepnova in der Version 4. im Auftrag der ergovia GmbH"

Transkript

1 Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für das IT-Produkt stepnova in der Version 4 im Auftrag der ergovia GmbH datenschutz cert GmbH 19. September

2 Inhaltsverzeichnis 1. Vorbemerkung 3 2. Zeitraum der Prüfung 3 3. Antragstellerin 3 4. Sachverständiger/Prüfstelle 3 5. Kurzbezeichnung des IT-Produkts 3 6. Beschreibung des IT-Produkts 3 7. Tools, die zur Herstellung des Produkts verwendet wurden 4 8. Zweck und Einsatzbereich 4 9. Modellierung des Datenflusses Version des Anforderungskatalogs Zusammenfassung der Prüfergebnisse Datensparsamkeit Sperrung, Löschung, Anonymisierung, Pseudonymisierung Transparenz Zulässigkeit der Datenverarbeitung Zweckbindung, Trennungsgebot Auftragsdatenverarbeitung Authentizität, Integrität und Vertraulichkeit Verfügbarkeit Vorabkontrolle, Verfahrensverzeichnis, Datenschutzbeauftragter Pflichten nach DSVO Datenschutzrechte der Betroffenen Gesamtbewertung im Überblick Beschreibung, wie das IT-Produkt den Datenschutz fördert Votum der Auditoren 21 Seite 2 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

3 1. Vorbemerkung Mit diesem Kurzgutachten werden die Ergebnisse der Auditierung des IT-Produkts stepnova in der Version 4 gemäß Datenschutzgütesiegelverordnung (DSGSVO) 1 zusammengefasst. 2. Zeitraum der Prüfung Die Auditierung erstreckte sich auf den Zeitraum von bis und beinhaltete eine konzeptionelle Analyse der zur Verfügung gestellten Unterlagen sowie Besichtigungen des Testsystems, zuletzt in der Patch-Version Darüber hinaus sind die Webseiten und der Authentifizierungsvorgang getestet worden. 3. Antragstellerin Antragstellerin dieses Gutachtens ist die ergovia GmbH Knooper Weg Kiel. Ansprechpartnerin ist Frau Silke Buschtöns. 4. Sachverständiger/Prüfstelle Sachverständige dieses Gutachtens ist die Prüfstelle datenschutz cert GmbH Konsul-Smidt-Str. 88a Bremen unter der Leitung von Herrn Dr. Sönke Maseberg (Technik) und Frau Irene Karper (Recht). Ansprechpartner für diese Begutachtung sind Frau Dr. Irene Karper (Recht) und Herr Ralf von Rahden (Technik). 5. Kurzbezeichnung des IT-Produkts Begutachtet wird stepnova in der Version 4. Es umfasst die Produktvarianten: --- stepnova Professional Edition, --- stepnova Basic Edition, --- stepnova Starter Edition, --- stepfolio. 6. Beschreibung des IT-Produkts stepnova ist ein webbasierendes Datenbanksystem zur Organisation im Bildungssektor. Das System ist online unter der URL https://www.stepnova.net 2 bzw. https://stepfolio.net erreichbar. Der Login für Anwender erfolgt unter https://www.stepnova.net/login.do bzw. https://stepfolio.net/login.do. 1 Landesverordnung über ein Datenschutzgütesiegel (Datenschutzgütesiegelverordnung DSGSVO) v , GVOBl. Schl.-H. 2013, S.536ff. 2 Alle genannten Webseiten-Referenzen waren zum Abschluss des Audits im September online erreichbar. Seite 3 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

4 Informationen und Handbücher sind ferner unter https://kundenportal.ergovia.de/ abrufbar. stepnova ist eine Fortentwicklung des Produktes STEP!basis, welches zuletzt im Jahre 2003 von der Prüfstelle datenschutz nord GmbH auditiert und gemäß DSAVO zertifiziert wurde Tools, die zur Herstellung des Produkts verwendet wurden Es wurden keine datenschutz-relevanten Tools eingesetzt. 8. Zweck und Einsatzbereich stepnova Professional, stepnova Basic und stepnova Starter Edition unterstützen Maßnahmen der beruflichen Bildung. Sie werden bei der elektronischen Maßnahmeabwicklung der Bundesagentur für Arbeit sowie für Jobcentermaßnahmen (z.b. für die berufliche Weiterbildung) und von Bildungseinrichtungen eingesetzt. Mit stepfolio erfolgt die Verwaltung und Dokumentation in Kindertagesstätten. Im Hauptmenü sind Arbeitsbereiche, Bereiche und Editoren erreichbar. Abbildung 1: Hauptmenü am Beispiel stepnova Professional Edition 3 Das Zertifikat des Unabhängigen Landeszentrums für Datenschutz wurde unter der Nummer 7-10/2003 erteilt und war befristet bis Damals firmierte die ergovia GmbH noch unter dem Namen ergo!via GmbH. Seite 4 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

5 Alle Produktvarianten sind Varianten desselben technischen Systems, welche für den Anwender auf verschiedene Anwendungsbereiche (AB), Bereiche (B) und Editor-- Funktionen (E) zugeschnitten ist. Welche Funktionen welcher Variante zugeordnet sind, ergibt sich aus folgender Abbildung (Hinweis: x = verfügbar): Abbildung 2: Übersicht Produktvarianten + Funktionsumfang Ferner gibt es übergreifend die Module Anonymisierung und Abrechnung. Im Arbeitsbereich Anwesenheit erfolgt die Dokumentation der Anwesenheit von Teilnehmern. Im Arbeitsbereich Beratung können Gesprächsdokumentation verwaltet werden. Im Arbeitsbereich Beruf werden Daten zu betrieblichen Arbeitsverhältnissen, Bewerbungsaktivitäten der Teilnehmer und Vermerke erfasst. Im Arbeitsbereich der elektronischen Maßnahmeabwicklung erfolgt die Kommunikation. Der Arbeitsbereich Förderplanung (FöP/LuV) ermöglicht eine Planung von Fördermaßnahmen bzw. eine Leistungs- und Verhaltensbeurteilung. Hier werden u.a. Kompetenzen, Maßnahmenziele, Verlauf oder Kurspläne dokumentiert. Dies dient als Grundlage der Seite 5 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

6 Ferner kann ein individueller Arbeitsbereich ( Individuell ) nach den Anforderungen des Anwenders eingerichtet werden (z.b. Formulare). Im Arbeitsbereich Portfolio können Entwicklungsstände dokumentiert werden, z.b. anhand von Fotos oder über in Fortbildungen erlernte Fähigkeiten. Hervorzuheben ist, dass die Einbindung von Fotos nicht zum Standardumfang des Produktes gehört und optional hinzugebucht werden kann. Zudem wird der Anwender in einem eigens für Datenschutzhinweise entwickelten [Datenschutzhinweisblatt] auf den rechtskonformen Umgang mit Personenfotos und eine strenge Prüfung zur Freischaltung dieses Moduls sensibilisiert. Es enthält z.b. auch einen Hinweis, dass Fotos nicht unerwünscht zu Clouddiensten hochgeladen werden. Im Arbeitsbereich Qualifizierung werden Teilnahmen an Unterrichtseinheiten, Kursen oder Modulen eines Teilnehmers erfasst. Bei Teilnehmerdaten sind neben Stammdaten u.a. schulische und berufliche Daten über Zeugnisse, Lebenslauf, Sprachkenntnisse und Hobbys, Maßnahmen, Maßnahme- bzw. Kursgruppen, Ein- und Austritte, Angaben zu Kindern, Religionszugehörigkeit und Bankdaten sowie Angaben zu Personen, welche diesen Teilnehmer betreuen (im Sinne von Maßnahmencoaching) hinterlegt. Im Bereich Administration können Standortstruktur (Abteilungen, Fachbereiche) nachgebildet und die Subadministrationen eingerichtet werden (also z.b. weitere Administratoren oder Administratoren, welche nur eingeschränkte Administrationsrechte besitzen). Ferner können Benutzerprofile, Bedienoberflächen und Wertvorgaben für Felder verwaltet werden. Im Bereich Abrechnung erfolgt die Einrichtung und Abrechnung teilnehmerbezogener Kosten (z.b. Maßnahmevergütungen, Verpflegungsgeld). Im Bereich Anonymisierung kann der Administrator des Anwenders Teilnehmerdatensätze löschen. Werte, die für eine spätere statistische Auswertung hilfreich sind, werden im Bereich Anonymisierungsdaten als Liste ohne Teilnehmerbezug dargestellt. Der Zeitpunkt der Anonymisierung richtet sich dabei nach dem Maßnahmeende der Teilnehmer. Der Bereich Ausgabe befinden sich Ausgabemöglichkeiten als Reports. Der Bereich Dokumentarchiv dient der Dokumentarchivierung und versionierung. Hier können z.b. Berichte als Freitext erstellt und hinterlegt werden. Der Bereich Kontaktarchiv können Kontaktdaten verwaltet und gepflegt werden. Im Bereich Nachrichten werden Nachrichten und automatische Erinnerungen für den mit der Arbeitsagentur angelegt und verwaltet. Im Bereich Personaldaten werden die Grunddaten für das Personal des Anwenders hinterlegt. Hier können auch Berechtigungen gepflegt werden. Im Bereich Suche können Informationssuchen vorgenommen werden. Auch hier greift das Berechtigungs- und Rollenkonzept, so dass nur Treffer nach der entsprechenden Berechtigung angezeigt werden. Seite 6 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

7 Im Bereich Vermerke können zu den Teilnehmern Vermerke erstellt werden. Die Vermerke können nur für den jeweils erstellenden Anwender oder eine Gruppe von berechtigten Personen zugänglich gemacht werden. stepnova verfügt schließlich über Editoren, welche dem Anwender ermöglichen, individuelle Anpassungen und Erweiterungen für die Datenbank vorzunehmen. Hierzu gehört etwa die Erstellung von Druck- und Formularvorlagen oder das Anlegen von Gruppen. Auch eine Raum- und Hardwareplanung ist möglich. stepnova verfügt über ein abgestuftes Rollen- und Berechtigungskonzept. Für den Benutzer können die Rechte genau zugeschnitten werden. Die Zugriffberechtigung wird über die integrierte Benutzerverwaltung (wie für alle anderen Menüpunkte und Datenfelder auch) restriktiv behandelt. Hierdurch wird ausgeschlossen, dass unberechtigte Personen Kenntnis von den dort vermerkten Daten erhalten. Dazu gibt es ein Formular, in dem die benötigten Rechte (Lesen, Neueintrag, Bearbeiten, Löschen) für Arbeitsbereiche, Bereiche und Editoren einzeln ausgewählt werden können. Es gibt zwei Administratoren-Rollen bei der ergovia GmbH: Den Administrator und den Support. Ersterer hat Vollzugriff auf alle Systeme, letzterer hat nur Zugriff auf den Tomcat-Dienst (dazu sogleich). stepnova besteht aus den folgenden Komponenten: --- Webserver (Apache) --- Tomcatserver --- Datenbankserver (Postgres) --- Jumpserver --- Docserver. Der Webserver nimmt Anfragen des Clients entgegen und leitet diese im internen Netz an die Tomcatserver weiter. Ferner terminiert er das SSL und das LoadBalancing auf die Tomcatserver. Ein weiterer Webserver liefert statische Seiteninhalte aus. Der Tomcatserver führt die Applikationslogik aus, beschafft und verarbeitet die Daten und bereitet diese für die Anzeige auf. Im Datenbankserver befindet sich die Postgresql-Datenbank. Der Jumpserver wird als administrative Schnittstelle genutzt. Der Zugriff erfolgt mit SSH-Zertifikatsauthentisierung. Die RSA-Schlüssel haben eine Länge von 2048 bit. Der DocServer nimmt Dokumente in beliebigem Format per HTTP entgegen und legt diese im Dateisystem ab. Ferner gibt er Dokumente auf Anfrage heraus. Die Daten werden dabei getrennt nach Mandantennummer aufbewahrt. Die ergovia GmbH aus Kiel ist Hersteller und Anbieter von stepnova. Das Unternehmen führt im Auftrag der Anwender Updates sowie durch und hostet das System in einem unterbeauftragten Rechenzentrum. Die ergovia GmbH wird insofern als Auftragsdatenverarbeiter für den Anwender tätig. Seite 7 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

8 Die NetUSE AG aus Kiel ist seitens der ergovia GmbH mit dem Housing und Hosting der Systeme von stepnova in einem Rechenzentrum in Kiel beauftragt. Die NetUSE AG wird als Unterauftragsdatenverarbeiter tätig. Die ergovia GmbH wird bei der Wartung des Systems zudem durch den Dienstleister Markus Manzke MARE System (kurz MARE System) aus Kiel unterstützt. MARE System übernimmt die Wartung der Online-Server und ist für den Empfang und die Reaktion auf Nagios Alarme sowie den Check auf Updates der SLES-/ Debian-Server- Bewertung (asap einspielen) zuständig und bietet in diesem Zusammenhang den 2nd Level Support an. MARE System ist ebenfalls Unterauftragsdatenverarbeiter. 9. Modellierung des Datenflusses Die folgende Abbildung illustriert die Komponenten und den Datenfluss von stepnova: Seite 8 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

9 Abbildung 1: Datenfluss

10 10. Version des Anforderungskatalogs Basis der Auditierung ist der Anforderungskatalog in der Version Zusammenfassung der Prüfergebnisse stepnova setzt die rechtlichen und technischen Anforderungen vollumfänglich um Datensparsamkeit Aspekte der Datensparsamkeit im Sinne des 3a BDSG bzw. 78b SGB X sowie landesgesetzlicher Vorschriften werden im vollen Umfang erfüllt, indem nur solche Daten verarbeitet werden, die für die Erbringung der Leistung erforderlich sind. Zwar können mithilfe von stepnova umfassend personenbezogene Daten erfasst und verarbeitet werden. Dies ist allerdings den Anforderungen der Leistungsträger und Arbeitsagenturen bzw. der Versorgung der Kinder in den KiTas und den gesetzlichen Berichts- und Dokumentationspflichten geschuldet. Hinsichtlich der Befüllung von Freitextfeldern wird der Anwender zudem durch die Dokumentation [Hinweise_Freitextfelder] auf den datensparsamen und zweckgebundenen Umgang senibilisiert. Das mittels stepnova realisierbare abgestufte Berechtigungskonzept sorgt für einen engen Kreis der Zugriffsberechtigten auf die relevanten Datensätze. Personenbeziehbare Protokolldaten werden soweit wie möglich vermieden. Die Nutzung von stepnova erfolgt über einen Netzwerkanschluss einer Einrichtung, so dass die IP-Adresse nicht auf einzelne Benutzer zurückzuführen ist, sondern nur auf eine juristische Person. Logs, in denen der Benutzername protokolliert wird, wie etwa stepnova_ldap.log oder stepnova_session.log, werden spätestens nach 7 Tagen gelöscht. Das stepnova.log wird aus vertraglichen Verpflichtungen gegenüber dem Anwender 180 Tage gespeichert. Die personenbezogenen Daten in diesem Log betreffen nur Anwender und keine Teilnehmerdaten. Einziges Log, in dem bei Erhöhung des Detaillierungsgrads auf Grund einer Fehlersuche auch personenbezogene Teilnehmerdaten enthalten sein können, ist postgresql84- ***.log auf dem Datenbank-Server. Zugriff haben ausschließlich berechtigte Mitarbeiter der ergovia GmbH. In der Regel ist der Detailgrad niedrig, so dass keine Primärdaten enthalten sind. Das Log wird 14 Tage gespeichert, da die Auswertung für Optimierungszwecke benötigt wird. Dies ist aus Sicht der Auditoren noch tolerabel, da Primärdaten nur bei Auftreten von Fehlern mitgelogged werden und zu dessen Nachvollziehbarkeit erforderlich sind Sperrung, Löschung, Anonymisierung, Pseudonymisierung stepnova stellt in adäquater Weise Mittel zur Sperrung, Löschung, Anonymisierung und Pseudonymisierung zur Verfügung. Eine Sperrung oder Löschung von Teilnehmerdaten kann durch den dazu berechtigten Anwender erfolgen. Durch deine Anonymisierungsfunktion werden Teilnehmerdaten der zudem vertragsbezogen automatisch nach 24 Monaten gelöscht. Teilnehmerdaten können anhand vertraglicher Regelungen gelöscht werden, indem der Anwender im Teilnehmerdatensatz Fristen definiert.

11 Durch das Zusammenspiel der Löschfunktionen für Maßnahmegruppen und einem eng definierbaren Berechtigungskonzept werden auch Maßnahmen der Pseudonymisierung gefördert. So können Teilnehmerdaten aus einer Maßnahmegruppe gelöscht werden und bleiben als Stammdatensatz für andere Maßnahmen erhalten, so dass sie nur mit größerem Aufwand durch berechtigte Personen als Pseudonym wieder einer Person zugeordnet werden könnten. stepnova unterstützt den Anwender ferner hinsichtlich der Löschung, Sperrung und Anonymisierung sowie Pseudonymisierung, indem er im [Datenschutzhinweisblatt] auf diese Grundsätze sensibilisiert wird Transparenz Die Produktdokumentationen sind verständlich und aussagekräftig; Datenfluss, Zugriff und Verarbeitung personenbezogener Daten werden transparent dargelegt. Die Webseiten (https://www.stepnova.net und https://stepfolio.net/login.do) halten die Vorgaben des Telemedienrechts ein, indem Impressum und Datenschutzerklärung leicht abrufbar und inhaltlich korrekt sind. Die IP-Adresse wird nach Aussage der ergovia GmbH und der dortigen Datenschutzerklärung für maximal 24h gespeichert, um Angriffe abwehren zu können. Anschließend wird die IP um die letzten beiden Oktette verkürzt und damit anonymisiert. gehört nicht zum Auditgegenstand. Zwar finden sich hier Informationen zu den Produkten der ergovia GmbH und damit auch zu stepnova. Allerdings ist kein Loginbereich vorhanden. Daher sei nur ergänzend erwähnt, dass diese Webseiten die Anforderungen der Datenschutzaufsichtsbehörden an eine Reichweitenmessung 4 umsetzen, indem eine Information zur Datenerfassung vorhanden ist und eine Widerspruchsmöglichkeit dargeboten wird. Ferner wurde ein Vertrag zur Auftragsdatenverarbeitung diesbezüglich abgeschlossen Zulässigkeit der Datenverarbeitung Teilnehmer-Stammdaten Die Erhebung, Speicherung und Nutzung von Sozialdaten ist gemäß der 67a - c SGB X zulässig, wenn diese zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden gesetzlichen Aufgaben nach dem Sozialgesetzbuch erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind. Ergänzt wird dies durch die für das Sozialrecht geltende Mitwirkungspflicht des Leistungsempfängers nach 60 Abs. 1 SGB und die besondere Mitwirkungspflicht für Teilnehmer an beruflichen Weiterbildungen gemäß 318 SGB III. Die Leistungsempfänger haben danach alle Tatsachen anzugeben, die für die Leistung erheblich sind. Darüber hinaus besteht die Pflicht, Änderungen mitzuteilen sowie auf Nachfrage des Leistungsträgers aussagefähige Beweismittel vorzulegen ( 60 Abs. 1 Ziff SGB I). 4 Z.B. die Hinweise des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom März 2013, Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen, abrufbar unter oder ähnlich das Bayerische Landesamt für Datenschutzaufsicht, dessen Hinweise abrufbar sind unter Seite 11

12 Ferner müssen Teilnehmer der Erteilung der erforderlichen Auskünfte durch Dritte zuzustimmen. Die Verarbeitung der Teilnehmerstammdaten erfolgt in stepnova Professional, stepnova Basic und stepnova Starter zudem zu arbeitsvertraglichen und steuerrechtlichen Abrechnungszwecken, für die u.a. Konfession und Familienstand eines Teilnehmers erforderlich sind. Dieses Konstrukt ineinander greifender allgemeiner und - für den Bereich der Arbeitsförderung - spezieller Zulässigkeitsregelungen erlaubt die Erhebung, Verarbeitung und Nutzung aller Stammdaten. Der Anwender kann ferner zusätzliche Angaben erfassen und verarbeiten. Hierbei handelt es sich um Daten, die für die Durchführung und Verwaltung der Maßnahme bzw. des Teilnehmers vor einem vertraglichen Hintergrund notwendig sein können (z.b. Bankverbindungsdaten) oder welche Voraussetzung für eine Maßnahmenteilnahme sind (z.b. Sprachkenntnisse). Angaben über Lebenslauf, Noten, Laufbahn, beruflicher Werdegang und berufliche Interessen, Zusatzqualifikationen, Sprachkenntnisse sowie Hobbys und Merkmale können ferner für Bewerbungsverfahren eingesetzt werden. stepnova unterstützt die Einhaltung der Rechtsgrundlagen, indem der Anwender im [Datenschutzhinweisblatt] sensibilisiert wird, das Erfordernis der Datenverarbeitung und die Rechtsgrundlage zu prüfen. Der Anwender wird dabei auch auf die Verarbeitung von besonderen personenbezogenen Daten sensibilisiert: Werden besonders sensitive Daten, wie z.b. Angaben über Konfession oder Gesundheit gespeichert, gelten zudem besondere Datenschutzbestimmungen. stepnova unterstützt Sie bei der Erfüllung der Anforderungen durch eine rechtskonforme Datenverarbeitung. Bitte beachten Sie, dass die Erfassung und Verarbeitung von besonderen personenbezogenen Daten oftmals eine freiwillige, nachweisbare und jederzeit widerrufliche Einwilligung des Betroffenen (bzw. bei Minderjährigen i.d.r. durch die Erziehungsberechtigten) erfordert. Dies kann z.b. bei Dokumentationen über Gesundheitszustand, Handicaps oder Personenfotos der Fall sein. Auch bei der Erfassung und Verarbeitung von Angaben wie Konfession, Familienstand, Hobbys oder Angaben über Kinder von teilnehmenden Personen darf deren Erfassung und Verarbeitung nur in begründeten Ausnahmefällen erfolgen. Die Erfassung von Personenfotos ist nicht Teil der Standardausführung von stepnova und stepfolio ist. Das Modul kann optional freigeschaltet werden, wenn dies Ihr Wunsch ist. Bitte beachten Sie, dass für die Nutzung des Mo-duls eine eingehende Zulässigkeitsprüfung der Erfassung und Verwendung von Personenfotos durch die verantwortliche Stelle notwendig ist. Sofern Sie Fotos direkt mit dem Tablet oder Smartphone aufnehmen, achten Sie bitte auf die im System vorgegebenen Datenschutzmaßnahmen zur Vermeidung von unerwünschten App-Zugriffen und vermeiden Sie, dass Personenfotos zu Clouddiensten hochgeladen werden. Seite 12

13 Rechtsgrundlage für die Übermittlung der Leistungs- und Verhaltensbeurteilung im Rahmen von ist 318 Abs. 2 SGB III. Diese beinhaltet die Beurteilung der Leistung und des Verhaltens des Teilnehmers sowie Anwesenheitsdaten. Diese sind vom Anwender für jeden Teilnehmer anlassbezogen zu erstellen und standardisiert an die Agentur für Arbeit zu übermitteln5. Gemäß 67d Abs. 1 i.v.m. 69 Abs. 1 Nr. 1 SGB X ist eine Übermittlung von Sozialdaten zudem zulässig, soweit sie erforderlich ist, für die Erfüllung der Zwecke, für die sie erhoben worden sind oder für die Erfüllung einer gesetzlichen Aufgabe der übermittelnden Stelle nach diesem Gesetzbuch oder einer solchen Aufgabe des Dritten, an den die Daten übermittelt werden, wenn er eine in 35 des Ersten Buches genannte Stelle ist. Die Übermittlung von Sozialdaten an die Agentur für Arbeit lässt sich ferner über 69 Abs. 1 Nr. 1 Alt. 1 SGB X rechtfertigen. Eine Ausnahme hiervon sieht indes 76 Abs. 2 Nr. 1 SGB X für Sozialdaten vor, die bei Begutachtung wegen der Erbringung von Sozialleistungen oder wegen der Ausstellung einer Bescheinigung übermittelt werden, es sei denn, dass der Betroffene der Übermittlung widerspricht; der Betroffene ist von der verantwortlichen Stelle zu Beginn des Verwaltungsverfahrens schriftlich auf das Widerspruchsrecht hinzuweisen. Im stepnova Arbeitsbereich kann daher anhand einer Checkbox vermerkt werden, ob eine Einwilligung bzw. ein Widerspruch gegen eine Datenübermittlung vorliegt oder nicht. stepfolio Kindertagesstätten dürfen personenbezogene Daten gemäß 24 SGB VIII verarbeiten, um Kindern den Besuch einer Tageseinrichtung zu ermöglichen. Landesspezifische Regelungen, wie der 12 des Nordrhein-Westfälischen KiBiz 6, ergänzen die Rechtsgrundlagen einer Datenerfassung und Verarbeitung: Danach darf der Anwender Name und Vorname des Kindes, Geburtsdatum, Geschlecht, Staatsangehörigkeit, Familiensprache, Namen, Vornamen und Anschriften der Eltern sowie weitere kindbezogenen Daten, die zur Erfüllung seiner Aufgaben nach diesem Gesetz erforderlich sind, erheben und speichern. In Schleswig-Holstein ist das Gesetz zur Förderung von Kindern in Tageseinrichtungen und Tagespflegestellen (Kindertagesstättengesetz - KiTaG)7 anwendbar. Dieses sieht bis auf 5 Abs. 6 KiTaG im Rahmen der Entwicklungsbestandserfassung von Kindern im Rahmen der Zusammenarbeit von Kindertagesstätten mit Schulen keine speziellen Regelungen für die Datenverarbeitung vor, so dass hier die allgemeinen Bestimmungen des LDSG S-H für Träger der öffentlichen Hand bzw. das BDSG für private Träger anwendbar sind. 5 Vgl. hierzu auch die Hinweise der Agentur für Arbeit unter Qualifizierung/A052-Arbeitnehmer/Publikation/pdf/eMaw-fachliches-Infopaket.pdf, Abschnitt Artikel 3 des Gesetzes zur frühen Bildung und Förderung von Kindern (Kinderbildungsgesetz - KiBiz) - Viertes Gesetz zur Ausführung des Kinder- und Jugendhilfegesetzes - SGB VIII - vom 30. Oktober 2007 (GV. NRW. S. 462). 7 Gesetz zur Förderung von Kindern in Tageseinrichtungen und Tagespflegestellen (Kindertagesstättengesetz - KiTaG) v (GVOBl. Schl.-H 1991, S. 651), zuletzt geändert durch Gesetz v (GVOBL. Schl.-H 2013, S. 466). Seite 13

14 Soweit in stepfolio besondere personenbezogene Daten verarbeitet werden, ist dies gemäß 11 Abs. 3 Nr. 1 LDSG S-H zulässig, sofern hierfür eine Einwilligung des Betroffenen vorliegt. Ist der Betroffene unter 12 Jahren oder minderjährig und nicht einsichtsfähig, ist eine Einwilligung der Erziehungsberechtigten einzuholen. Auch hier wird der Anwender durch das [Datenschutzhinweisblatt] sensibilisiert (vgl. den Text dazu oben). Beurteilungen, Entwicklungsstände, Leistungsdaten 93 Abs. 3 i.v.m. 318 Abs. 2 letzter Halbsatz SGB III normierten die Pflicht des Leistungsträgers, dem Arbeitsamt Beurteilungen über den Erfolg der Maßnahme zu übermitteln. Ebenfalls zulässig ist die Verarbeitung von Daten, durch die leistungsrechtlich erheblichen Sachverhalte dokumentiert werden, also alle maßnahmebegleitenden Daten, die unmittelbar etwas über den Erfolg der Maßnahme aussagen. Diese Daten werden neben dem Arbeitsbereich vor allem in den Arbeitsbereichen LuV, Beratung und Portfolio verarbeitet. Im Einsatzbereich von stepfolio können Entwicklungsstände und Förderungen gemäß 5 Abs. 6 Satz 3 und 4 des Gesetzes zur Förderung von Kindern in Tageseinrichtungen und Tagespflegestellen erfasst und verarbeitet werden, wobei allgemeine datenschutzrechtliche Bestimmungen des LDSG S-H für Träger der öffentlichen Hand bzw. das BDSG für private Träger zur Anwendung kommen. Dabei kann die Dokumentation über Fortschritte und Entwicklungen in stepnova auch als Foto der Person hinterlegt werden. Diese Funktion kommt vornehmlich bei stepfolio zum Einsatz, indem dort KiTas Kinderfotos hinterlegen können. Bei Namensähnlichkeiten von Kindern dient dies oft auch als Unterscheidung für die Erzieher. Die Personenfotos werden nur einem kleinen berechtigten Kreis zur Einsicht zur Verfügung gestellt und nicht veröffentlicht, so dass das Kunsturhebergesetz keine Anwendung findet. Gleichwohl kann eine Einwilligung (der Erziehungsberechtigten) erforderlich sein. Hervorzuheben ist, dass es sich bei der Funktion zur Erfassung und Verarbeitung von Kinderfotos um ein optionales Modul handelt, welches nicht in der Standardausführung des Produkts enthalten ist. Zudem wird der Anwender im [Datenschutzhinweisblatt] auf den rechtskonformen Umgang mit Personenfotos und eine strenge Prüfung zur Freischaltung des Moduls sensibilisiert. Zusätzlich enthält das [Datenschutzhinweisblatt] noch einen Hinweis darauf, dass schon bei der Erstellung der Fotos darauf geachtet werden muss, dass diese nicht unerwünscht zu Clouddiensten hochgeladen werden (siehe den oben dazu aufgeführten Text des Hinweisblattes). Besondere personenbezogene Daten Soweit Daten über den Gesundheitszustand, eine Behinderung oder die Konfession aufgenommen werden, handelt es sich um besondere Daten gemäß 67 Abs. 12 SGB X bzw. 3 Abs. 9 BDSG / 11 Abs. 3 LDSG S-H. Die Zulässigkeit der Datenverarbeitung ergibt sich ausnahmsweise - aus 67a Abs. 1 SGB X, denn für die erfolgreiche Vermittlung von Teilnehmern an Betriebe muss der Vermittelnde vorab darüber Kenntnis haben, ob der Betreffende ohne jegliche Einschränkung beruflich einsetzbar ist oder ob gesundheitliche Einschränkungen bestehen, die eine Einsetzbarkeit Seite 14

15 verhindern. Dies lässt sich vom Umfeld der beruflichen Bildungsmaßnahmen auch auf den Betrieb von Kindertagesstätten übertragen. Hier ist bei kirchlich organisierten Betrieben die Konfession für eine Zuordnung relevant. Ferner müssen Erzieher und Betreuer Kenntnisse über den Gesundheitszustand (z.b. Allergien) und Behinderungen haben, um das Kind umfangreich versorgen und Gefahren für Leib und Leben abwenden zu können. Greifen diese Rechtsgrundlagen nicht, ist eine Einwilligung einzuholen. Der Anwender wird im [Datenschutzhinweisblatt mit dem oben aufgeführten Satz sensibilisiert. Vermerke und Freitextfelder Vermerke sind erforderlich, um bei Bedarf Zusatzinformationen über einen Teilnehmer eintragen zu können, welche nicht über fest formatierte Felder zu tätigen sind, aber dennoch im Rahmen einer ganzheitlichen Fallbearbeitung benötigt werden. Auch hier unterstützen das abstufbare Berechtigungskonzept, die Anonymisierungsfunktion sowie die Dokumentation [Hinweise_Freitextfelder] den zulässigen Umgang mit Daten. Personal- bzw. Beschäftigtendaten Die Verarbeitung von Daten der Beschäftigten bzw. des Personals erfolgt gemäß 32 BDSG bzw. i.v.m. 11 Abs. 1 Nr. 2 und Nr. 3 LDSG S-H zur Durchführung des Arbeitsverhältnisses und der vertraglich zu erbringenden Leistungen. Die Verarbeitung der Logdaten ist ebenfalls zulässig. Sie beruht auf der ordnungsgemäßen Erfüllung der Auftragsdatenverarbeitung durch die ergovia GmbH und stützt sich damit auf eine vertragliche Grundlage Zweckbindung, Trennungsgebot Die mittels stepnova verarbeiteten Daten werden nicht für andere Zwecke als für die berufliche Bildung und Maßnahmeabwicklung bzw. für die Organisation von Kindertagesstätten im Rahmen der gesetzlichen Vorgaben eingesetzt. Auch hier unterstützen das abstufbare Berechtigungskonzept, die Anonymisierungsfunktion sowie das Dokument [Hinweise_Freitextfelder] den zweckgebundenen Umgang. Das Trennungsgebot ist in vollem Umfang sichergestellt, da personenbezogene Daten ausschließlich vom Anwender für die ihm obliegenden Zwecke verarbeitet werden. Lizenzen und Datenbanken pro Anwender sind systemseitig getrennt Mandanten sind anhand der ID des Kundendatensatzes als Attribut an jedem Datensatz getrennt. Daten, die allen Mandanten zur Verfügung gestellt werden und für die Mandanten unveränderbar sind (z.b. Nationen und Berufe) werden mit der KundenID 0 gespeichert, wobei die 0 nicht Teil des ID-Generators ist Auftragsdatenverarbeitung Die ergovia GmbH führt Datenverarbeitung im Auftrag gemäß 80 SGB X, 11 BDSG bzw. 17 LDSG S-H durch. Die ergovia GmbH hält für Anwender als Muster einen Lizenzvertrag zur Verfügung, welcher einheitliche Regelungen zur Auftragsdatenverarbeitung enthält. Seite 15

16 Es sind keine Anhaltspunkte dafür ersichtlich, dass eine Auftragsdatenverarbeitung für Anwender von stepnova unzulässig sein könnte. Nach 80 Abs. 5 SGB X ist die Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag durch nichtöffentliche Stellen allerdings nur zulässig, wenn beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden können und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfasst. Das Vorliegen dieser Voraussetzungen kann aber nur durch den Anwender selbst geprüft und umgesetzt werden. Im [Datenschutzhinweisblatt] wird auf die Auftragsdatenverarbeitung und die sozialrechtlichen Bestimmungen hingewiesen. Die Kontrolle der Auftragsdatenverarbeitung wird unterstützt durch die Beschreibung technisch-organisatorischer Maßnahmen im Vertragswerk und transparente Produktbeschreibungen. Auch die von der ergovia GmbH eingesetzten Subunternehmer sind vertraglich gemäß 80 Abs. 2 SGB X, 11 BDSG und 17 LDSG S-H auf die Einhaltung des Datenschutzes im Rahmen der Auftragsdatenverarbeitung verpflichtet worden und werden regelmäßig kontrolliert Authentizität, Integrität und Vertraulichkeit Zugang zu personenbezogenen Daten im Rahmen von Wartungsarbeiten hat ausschließlich die ergovia GmbH. Die Dienstleister MARE System und NetUSE AG haben diesen nicht. Dennoch sind auch hier wirksame Maßnahmen etabliert, um einen unbefugten Zugang zu den Systemen von stepnova zu verhindern. Berechtigungen sind sehr restriktiv vergeben, so dass die Anzahl der Mitarbeiter mit Berechtigungen für die Systeme auf das Notwendige begrenzt wird. Hervorzuheben ist, dass zwischen der ergovia GmbH und der NetUSE AG vertraglich eine Mindestlänge der Passwörter von 10 Stellen verbindlich geregelt ist. Diese Passwörter der berechtigten Mitarbeiter der NetUSE AG werden in einem elektronischen PasswortSafe hinterlegt. Zugriff auf den PasswortSafe ist nur über verschlüsselte Protokolle möglich und ist ebenfalls gesichert. Zugriffe durch Ergovia werden revisionssicher gespeichert. Zugriffe erfolgen stets über eine SSH-Verbindung über den Jumpserver. Die Dienstleister MARE System und NetUSE AG haben ausschließlich Zugriff auf die Loadbalancer und die Tomcat-Server. Zugriff auf die Datenbankserver hat ausschließlich ergovia. Fernzugriffe zu Wartungszwecken werden einmalig eingeräumt und auf Server beschränkt, auf denen Wartungs- bzw. Reparaturarbeiten ausgeführt werden müssen, welche die ergovia GmbH nicht selbst durchführen kann. Die ergovia GmbH bekommt nach Abschluss der Arbeiten ein Tätigkeitsprotokoll. Der Wartungsvorgang kann durch die ergovia GmbH jederzeit abgebrochen werden. Die für die Fernwartung verwendeten NetUSE AG-Notebooks sind mit einer Festplattenverschlüsselung versehen. Der Fernzugriff erfolgt mittels verschlüsselter Verbindungen (IPsec-VPN, SSL-VPN, SSH) in das Intranet des NetUSE AG und von dort per SSH auf den Jumpserver. Seite 16

17 stepnova wird mit einem angelegten Benutzer, dem Anwender-Administrator ausgeliefert. Das Initialpasswort dieses Benutzers wird von der ergovia GmbH erzeugt und per dem Anwender mitgeteilt. Diese enthält weder den Benutzernamen noch die Kundennummer. Das Initialpasswort muss nach dem ersten erfolgreichen Login geändert werden. Benutzer müssen sich am Web-Portal mit drei Werten authentisieren: Seite Kundennummer --- Benutzername und --- Passwort Dabei ist die Kundennummer ein numerischer, 6-10-stelliger von der ergovia GmbH vergebener Wert, der Benutzername ein vom Benutzer frei wählbarer Name und das auswählbare Passwort muss ein mindestens 8-Stelliges Kennwort mit Sonderzeichen, Zahlen, Klein- und Großschreibung sein. Es besteht keine Passworthistorie. Bei der Kennwortänderung kann das aktuell verwendete Kennwort jedoch nicht erneut verwendet werden. Der Anwenderadministrator kann in den Optionen eine Gültigkeitsdauer für Kennworte festlegen. Im Auslieferungszustand steht diese Option auf halbjährlich. Bei Erreichen des Gültigkeitsendes des Kennworts wird der Anwender zur Änderung des Kennworts gezwungen, in dem jeder Link auf die Kennwort ändern -Seite leitet. Ferner hat der Benutzer die Möglichkeit im Hauptmenü sein Passwort zu ändern, sofern er nicht die LDAP-Funktion nutzt. Hierzu muss der Benutzer sein altes Kennwort eingeben und zweimal das neue. Es muss mindestens 8 Stellen lang sein. Dabei wird dem Benutzer während der Eingabe die Qualität seines Kennwortes angezeigt. Es wird weiterhin technisch verhindert, dass dasselbe Passwort wiederverwendet wird. Die relativ niedrige Mindestkennwortlänge ist in Hinblick auf die Zielgruppe gewählt worden. Durch die Anzeige wird der Benutzer aber deutlich darauf hingewiesen, wenn er sich bewusst für ein schwaches Kennwort entscheidet, so dass aus Sicht der Auditoren die Umsetzung noch als angemessen bewertet werden kann. Alternativ ist zudem über die Nutzung des LDAP-Moduls möglich, dass der Anwender sich gegenüber stepnova mit Domänen-Namen und Passwort anmeldet. In diesem Fall ist die Qualität des Passwortes in der Verantwortung des Anwenders. Falls der LDAP-Server nicht erreichbar ist, bietet stepnova als Fallback an, die Passwörter genauso wie die übrigen Passwörter verschlüsselt (SHA MD5 - Kennwort im Klartext + Salt) zu speichern, so dass die Anmeldung an das System gewährleistet bleibt. Die Schnittstellen von stepnova nutzen stets verschlüsselte Protokolle. Für das Webportal werden Zertifikate mit RSA-2048 verwendet, wodurch die Authentizität, Integrität und die Vertraulichkeit der übertragenen Daten gewährleistet wird. Der Webserver unterstützt bereits TLS 1.2 mit ECDHE und AES-128, so dass bei Unterstützung durch den Browser eine SSL-Variante genutzt werden kann, die nicht anfällig ist gegen die derzeit bekannten Schwachstellen von SSL. Die Backups der Datenbanken werden mit gpg verschlüsselt. Hierbei wird ein hybrides Verfahren aus Elgamal-2048 und AES-256 verwendet. Der private key liegt im Passworttresor der Technikabteilung der ergovia GmbH und ist somit nur durch

18 diese zugreifbar. Der public key wird für die Verschlüsselung per Skript im Zuge des Backups verwendet und liegt auf den Datenbankservern. Administratoren melden sich per SSH mit Zertifikats-Authentisierung (RSA-2048 bit) am Jumpserver an. Dieser authentisiert sich gegenüber den Systemen wiederum mit eigenen SSH-Zertifikaten. Die Nutzung von LDAP durch den Anwender wird über einen VPN-Tunnel angeboten, über den die Vertraulichkeit gewährleistet wird Verfügbarkeit Die stepnova-server werden im Rechenzentrum der NetUSE AG in Kiel betrieben, welches regelmäßig auf der Grundlage von 109 TKG von der Bundesnetzagentur auditiert wird. Die NetUSE AG übernimmt den Schutz des Webservers durch Administration und Kontrolle des Firewall. Die Hardware und Einsatzumgebung ist auf hohe Zuverlässigkeit und Minimalisierung von Ausfällen ausgerichtet (z.b. durch den Einsatz von Loadbalancern). Zudem ermöglicht der modulare Aufbau der Server die Skalierbarkeit und Verfügbarkeit auch bei ansteigender Systemnutzung. Die Verfügbarkeit der Daten gewährleistet ein Backupkonzept. Die Backups werden verschlüsselt gespeichert Vorabkontrolle, Verfahrensverzeichnis, Datenschutzbeauftragter Die ergovia GmbH unterstützt den Anwender auf Anfrage bei der Vorabkontrolle sowie bei der Erstellung eines Verfahrensverzeichnisses. Im Lizenzvertrag sind Kontrollen und die Beteiligung des Datenschutzbeauftragten explizit vorgesehen. Anwender können sich im Hinblick auf Fragen zur Umsetzung von Datenschutz und Datensicherheit bei stepnova an die ergovia GmbH direkt richten und erhalten fachkundige Auskünfte Pflichten nach DSVO Die ergovia GmbH bietet für den Anwender transparente Dokumentationen zum Produkt sowie zur Umsetzung der Datensicherheit und des Datenschutzes, aus denen wesentliche Informationen für eigene Dokumentationspflichten gemäß DSVO entnommen werden können. Zudem stellt die ergovia GmbH jederzeit fachlich geeignete Ansprechpartner für die Anleitung des Anwenders zur Verfügung Datenschutzrechte der Betroffenen Die Rechte der Betroffenen auf Information, Auskunft, Benachrichtigung, Berichtigung falscher Angaben, Löschung und Sperrung sowie auf Widerspruch werden durch stepnova auf vielfältige Weise gefördert, etwa indem Datenverarbeitungsvorgänge und Verantwortlichkeiten verständlich beschrieben sind. Die zu einem Teilnehmer erhobenen Daten können durch Ausdrucke dem Betroffenen zugänglich gemacht werden. Damit unterstützt stepnova das in 33 BDSG, 27 LDSG SH und 83 SGB X geregelte Auskunftsrecht. Berichtigung und Löschung von Daten können durch den berechtigten Anwender manuell erfolgen. Im Übrigen werden Teilnehmerdaten anhand definierter Fristen (i.d.r. 24 Monate) gelöscht. Dies entspricht den Anforderungen der Bundesagentur Seite 18

19 für Arbeit, welche in den Vertragsbedingungen und verbindlichen Leistungsbeschreibungen Fristen vorgeben. stepnova verfügt zudem über systemseitige Möglichkeit von Vermerken in einer anklickbaren Checkbox über das Vorliegen einer Einwilligung für Datenübermittlungen im Rahmen von Dadurch können Einwilligungen und Widersprüche jederzeit nachvollzogen werden Gesamtbewertung im Überblick Für stepnova, Version 4, ergibt sich danach folgende Gesamtbewertung: Nr. Anforderungsprofil Bewertung / Kommentar Datenart A (Primärdaten): A1 Datensparsamkeit Angemessen A2 Löschen, Anonymisieren, Pseudonymisieren Angemessen A3 Transparenz Angemessen A4 Sonstige Anforderungen Angemessen A5 Zulässigkeit Angemessen A6 Datenschutzgrundsätze Angemessen A7 Auftragsdatenverarbeitung Angemessen A8 Besondere technischer Verfahren Nicht anwendbar A9 Sonstige Anforderungen Angemessen A10 Zutritts- und Zugangskontrolle Angemessen A11 Zugriffskontrolle Vorbildlich A12 Protokollierung Angemessen A13 A14 Weitere technisch-organisatorische Maßnahmen Vorabkontrolle, Verfahrensverzeichnisses Datenschutzbeauftragter Vorbildlich Angemessen A15 Spezifische Pflichten Nicht anwendbar A16 Pflichten nach DSVO Angemessen A17 Sonstige spezifische Anforderungen Nicht anwendbar A18 Betroffenenrechte Angemessen A19 Sonstige Anforderungen Angemessen Datenart B (Sekundärdaten): B1 Datensparsamkeit Angemessen B2 Löschen, Anonymisieren, Pseudonymisieren Angemessen Seite 19

20 B3 Transparenz Angemessen B4 Sonstige Anforderungen Nicht anwendbar B5 Zulässigkeit Angemessen B6 Datenschutzgrundsätze Angemessen B7 Auftragsdatenverarbeitung Angemessen B8 Besondere technischer Verfahren Nicht anwendbar B9 Sonstige Anforderungen Nicht anwendbar B10 Zutritts- und Zugangskontrolle Angemessen B11 Zugriffskontrolle Vorbildlich B12 Protokollierung Nicht anwendbar B13 B14 Weitere technisch-organisatorische Maßnahmen Vorabkontrolle, Verfahrensverzeichnisses Datenschutzbeauftragter Nicht anwendbar Angemessen B15 Spezifische Pflichten Nicht anwendbar B16 Pflichten nach DSVO Angemessen B17 Sonstige spezifische Anforderungen Nicht anwendbar B18 Betroffenenrechte Angemessen B19 Sonstige Anforderungen Nicht anwendbar Förderung des Datenschutzes: Das IT-Produkt fördert den Datenschutz insgesamt auf angemessene Weise 12. Beschreibung, wie das IT-Produkt den Datenschutz fördert Das IT-Produkt fördert den Datenschutz auf vielfältige Weise: --- Differenziertes Rollen-und Berechtigungskonzept. --- Hohe Zugriffssicherheit durchkomplexe Passwörter --- Hohe Sicherheit durch Unterstützung von TLS 1.2 für den Zugang über das WepPortal. Seite 20

im Auftrag der Sachsen DV Betriebs- und Servicegesellschaft mbh

im Auftrag der Sachsen DV Betriebs- und Servicegesellschaft mbh Gutachten zur Erteilung eines Gütesiegels gemäß Datenschutzauditverordnung Schleswig-Holstein (Re-Zertifizierung) für das IT-Produkt BackStor Datensicherung, Version 1.2 im Auftrag der Sachsen DV Betriebs-

Mehr

Kurzfassung der Begutachtung zur Rezertifizierung der Firewall Dataport am Standort Altenholz

Kurzfassung der Begutachtung zur Rezertifizierung der Firewall Dataport am Standort Altenholz Kurzfassung der Begutachtung zur Rezertifizierung der Firewall Dataport am Standort Altenholz datenschutz nord GmbH, August 2006 1. Zeitpunkt der Prüfung Die Begutachtung zur Rezertifizierung der Firewall

Mehr

Technisches und rechtliches Rezertifizierungs-Gutachten

Technisches und rechtliches Rezertifizierungs-Gutachten Technisches und rechtliches Rezertifizierungs-Gutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt KOMMBOSS Version 2.9 der GfOP Neumann & Partner mbh Zum Weiher 25 27 14552 Wildenbruch

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für das Produkt Galileo. im Auftrag der NoemaLife GmbH

Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für das Produkt Galileo. im Auftrag der NoemaLife GmbH Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für das Produkt Galileo im Auftrag der NoemaLife GmbH datenschutz cert GmbH 14. Oktober 2008 Inhaltsverzeichnis Kurzgutachten zur Erteilung eines

Mehr

Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das Produkt e-health.solutions

Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das Produkt e-health.solutions Gesellschaft für Medizinische Datenverarbeitung mbh Mai 2006 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das Produkt e-health.solutions 1. Zeitraum der Prüfung 1. September 2005-13.2.2006

Mehr

Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für ProCampaign 2.0. im Auftrag der Consultix GmbH

Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für ProCampaign 2.0. im Auftrag der Consultix GmbH Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für ProCampaign 2.0 im Auftrag der Consultix GmbH datenschutz cert GmbH 13.03.2012 Inhaltsverzeichnis 1. Über die Auditierung von ProCampaign

Mehr

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich -

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Baden-Württemberg INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Datenschutzrechtliche Hinweise zum Einsatz von Webanalysediensten wie z. B. Google Analytics 1 -

Mehr

Kurzfassung der Begutachtung des Produkts epharm

Kurzfassung der Begutachtung des Produkts epharm Kurzfassung der Begutachtung des Produkts epharm datenschutz nord GmbH, August 2007 1. Zeitpunkt der Prüfung Die Begutachtung des Produkts epharm erfolgte entwicklungsbegleitend vom Februar 2003 bis September

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen

Mehr

Gutachten zur Re-Zertifizierung des IT-Produkts Dokumentenprüfer ALDO L Check 4U3, Hardware Release 01 / Software 0023. im Auftrag der 4U GmbH

Gutachten zur Re-Zertifizierung des IT-Produkts Dokumentenprüfer ALDO L Check 4U3, Hardware Release 01 / Software 0023. im Auftrag der 4U GmbH Gutachten zur Re-Zertifizierung des IT-Produkts Dokumentenprüfer ALDO L Check 4U3, Hardware Release 01 / Software 0023 im Auftrag der 4U GmbH datenschutz cert GmbH Februar 2011 Inhaltsverzeichnis Gutachten

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Version 1.1 2012-07-11 Personenbezogene Daten Die Flughafen Berlin Brandenburg GmbH im Folgenden FBB genannt erhebt, verarbeitet,

Mehr

Name : Hochschule für angewandte Wissenschaften München

Name : Hochschule für angewandte Wissenschaften München 1 Verantwortliche Stelle Name : Hochschule für angewandte Wissenschaften München Straße : Lothstraße 34 Postleitzahl : 80335 Ort : München Telefon* : 089 1265-1405 Telefax* : 089 1265-1949 Mail* : annette.hohmann@hm.edu

Mehr

Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt

Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt Rechtliches und Technisches Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt - SQS -Testsuite für SAP HCM - der SQS Software Quality Systems AG, Stollwerckstraße

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

Behörde / öffentliche Stelle

Behörde / öffentliche Stelle Behörde / öffentliche Stelle Verfahrensverzeichnis des einzelnen Verfahrens nach 8 DSG NRW Lfd. Nr: Neues Verfahren: Änderung: Das Verzeichnis ist zur Einsichtnahme bestimmt ( 8 Abs. 2 Satz 1 DSG NRW)

Mehr

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern

Mehr

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG lfd. Nr. neues Verfahren Änderung Das Verzeichnis ist zur Einsichtnahme bestimmt ( 15 Abs. 2 Satz 2 HDSG) Das Verzeichnis ist nur teilweise zur Einsichtnahme

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung Verband Bildung und Erziehung Landesbezirk Südbanden Datenschutz, Sorgerecht und Schulanmeldung Neue VwV Datenschutz I. Allgemeines Zulässigkeit der Datenverarbeitung Datenerhebung... Datenlöschung und

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Technisches und rechtliches Rezertifizierungs-Gutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt KOMMBOSS Version 2.

Technisches und rechtliches Rezertifizierungs-Gutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt KOMMBOSS Version 2. Technisches und rechtliches Rezertifizierungs-Gutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt KOMMBOSS Version 2.9 der GfOP Neumann & Partner mbh Zum Weiher 25 27 14552 Wildenbruch

Mehr

Datenschutzerklärung der Gütermann GmbH

Datenschutzerklärung der Gütermann GmbH Stand: 01. März 2014 Datenschutzerklärung der Datenschutzrechtlich verantwortliche Stelle ist die,, D-79261. Datenschutz ist unser Anliegen Wir freuen uns über Ihr Interesse an unserem Unternehmen und

Mehr

Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für Codira PACS 9.1. im Auftrag der Codira GmbH

Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für Codira PACS 9.1. im Auftrag der Codira GmbH Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für Codira PACS 9.1 im Auftrag der Codira GmbH datenschutz cert GmbH 11.05.2012 Inhaltsverzeichnis 1. Über die Auditierung von Codira PACS 9.1

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser Surfen am Arbeitsplatz Ein Datenschutz-Wegweiser Inhalt Allgemeine Fragen zur Wahrung der Privatsphäre 4 Grundsätzliche Anforderungen 6 Allgemeines 6 Dienstliche Nutzung 7 Private Nutzung 8 Protokollierung

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Valerij Serediouk SE Designing for Privacy HU WS 09 / 10 1 Gliederung Einführung Zweck und Anwendungsbereich des BDSG

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz Kurzgutachten zum Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz für die T-Systems International GmbH Hahnstraße 43d 60528 Frankfurt am Main Sachverständige Prüfstelle

Mehr

Datenschutzerklärung ENIGO

Datenschutzerklärung ENIGO Datenschutzerklärung ENIGO Wir, die, nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Website nur

Mehr

Erklärung zum Datenschutz für das mytalent-portal

Erklärung zum Datenschutz für das mytalent-portal Erklärung zum Datenschutz für das mytalent-portal 1. Allgemeines 1.1 Die vorliegende Datenschutzerklärung der Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.v., Hansastraße 27c, 80686

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der

Mehr

Antrag auf Registrierung und Zugangserteilung beim Zentralen Vollstreckungsgericht des Landes Brandenburg

Antrag auf Registrierung und Zugangserteilung beim Zentralen Vollstreckungsgericht des Landes Brandenburg Antrag auf Registrierung und Zugangserteilung beim Zentralen Vollstreckungsgericht des Landes Brandenburg An den Leiter des Zentralen Vollstreckungsgerichts bei dem Amtsgericht Nauen Paul-Jerchel-Straße

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Firmeninformation zum Datenschutz

Firmeninformation zum Datenschutz BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Firmeninformation zum Datenschutz Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

Datenschutzerklärung der emco electroroller GmbH für die emcoelektroroller.de

Datenschutzerklärung der emco electroroller GmbH für die emcoelektroroller.de Datenschutzerklärung der emco electroroller GmbH für die emcoelektroroller.de Wir freuen uns über Ihr Interesse an unserer Website. Der Schutz Ihrer Privatsphäre ist für uns sehr wichtig. Nachstehend informieren

Mehr

Gründe für ein Verfahrensverzeichnis

Gründe für ein Verfahrensverzeichnis 1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

DATENSCHUTZ im DARC e.v.

DATENSCHUTZ im DARC e.v. DATENSCHUTZ im Was hat der Datenschutz mit Amateurfunk zu tun? Vorstellung Amteurfunk seit 1990 Stv. DV H Niedersachsen (seit 2013), stv. OVV H65 Hannover-Hohes Ufer (seit 2012), Vorsitzender Nord>

Mehr

Datenschutzerklärung der Murrelektronik GmbH

Datenschutzerklärung der Murrelektronik GmbH Datenschutzerklärung Stand: November 201 Stand: November 201 Seite 1 von 5 Inhalt Präambel 1. Erhebung und Speicherung personenbezogener Daten 2. Hinweise zu Cookies und Google Analytics. Nutzung, Weitergabe

Mehr

HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik

HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik Vortrag im Seminar Designing for Privacy (Theorie und Praxis datenschutzfördernder Technik) Benjamin Kees

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen und der IT-Sicherheit Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen 12.1 Datenschutzrechtliche Chipkarteneinführung (1) Nach 12 Abs. 4 LHG können Hochschulen durch Satzung für ihre

Mehr

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz Beratungskonzept für die Datenschutz-Betreuung durch einen externen Beauftragten für den Datenschutz Die nachstehenden Informationen sollen Geschäftsführern und anderen Führungskräften von Unternehmen

Mehr

Technische und organisatorische Maßnahmen der

Technische und organisatorische Maßnahmen der Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

E-Mail-Seminar: Datenschutz an Schulen

E-Mail-Seminar: Datenschutz an Schulen E-Mail-Seminar: Datenschutz an Schulen Autorin: Veronika Höller Lektion 3: Datenübermittlung/-austausch In dieser Lektion erfahren Sie alles über das Thema Datenübermittlung und -austausch. Es werden u.

Mehr

Datenschutzerklärung moove

Datenschutzerklärung moove Datenschutzerklärung moove 1. Grundsatz, Einwilligung, Widerruf Für eine personalisierte Teilnahme an den moove-programmen, ist es unerlässlich, dass bestimmte personenbezogene Daten von Ihnen durch vitaliberty

Mehr

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Datenschutzbestimmung 1. Verantwortliche Stelle Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Pieskower Straße

Mehr

Öffentliches Verfahrensverzeichnis nach Bundesdatenschutzgesetz (BDSG)

Öffentliches Verfahrensverzeichnis nach Bundesdatenschutzgesetz (BDSG) 1 von 5 Seiten nach Bundesdatenschutzgesetz (BDSG) Das BDSG schreibt im 4g vor, dass der Beauftragte für den Datenschutz jedermann in geeigneter Weise die folgenden Angaben entsprechend 4e verfügbar zu

Mehr

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle...

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle... Stabsstelle Datenschutz Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle... Vereinbarung über die Datenverarbeitung im Auftrag (personenbezogene Daten / Sozialdaten) Zwischen..,

Mehr

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim Kirchlicher Anzeiger für das Bistum Hildesheim vom 31.10.2003, Nr. 10, Seite 233 ff. I. Zu

Mehr

Verfahrensverzeichnis für Jedermann

Verfahrensverzeichnis für Jedermann Verfahrensverzeichnis für Jedermann Organisationen, die personenbezogene Daten verwenden, müssen den Betroffenen auf Wunsch den Umgang mit deren Daten transparent darlegen. Diese Darstellung erfolgt in

Mehr

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung freigegeben Kontakt Angelika

Mehr

DE-MAIL DATENSCHUTZ-NACHWEIS

DE-MAIL DATENSCHUTZ-NACHWEIS KURZGUTACHTEN ZUM DE-MAIL DATENSCHUTZ-NACHWEIS Version: 2.0 Prüfgegenstand: Verantwortliche Stelle: Datenschutzkonzept und dessen Umsetzung für den De-Mail- Dienst der 1 & 1 De-Mail GmbH 1 & 1 De-Mail

Mehr

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen Konzept für eine Highperformance- und Hochverfügbarkeitslösung für Anforderungen : einen Anbieter von Krankenhaus Abrechnungen Es soll eine Cluster Lösung umgesetzt werden, welche folgende Kriterien erfüllt:

Mehr

Kurzgutachten Zeitpunkt der Prüfung September 2003 bis August 2004. Adresse des Antragstellers CC e-gov GmbH Winterhuder Weg 27 22085 Hamburg

Kurzgutachten Zeitpunkt der Prüfung September 2003 bis August 2004. Adresse des Antragstellers CC e-gov GmbH Winterhuder Weg 27 22085 Hamburg Kurzgutachten Zeitpunkt der Prüfung September 2003 bis August 2004 Adresse des Antragstellers CC e-gov GmbH Winterhuder Weg 27 22085 Hamburg Adressen des/der Sachverständigen Sachverständiger für IT-Produkte

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Verfahrensverzeichnis für Jedermann. gem. 4g Abs. 2 Satz 2 BDSG

Verfahrensverzeichnis für Jedermann. gem. 4g Abs. 2 Satz 2 BDSG Verfahrensverzeichnis für Jedermann Angaben zur verantwortlichen Stelle ( 4e Satz 1 Nr. 1-3 BDSG) 1. Name oder Firma der verantwortlichen Stelle ACI-EDV-Systemhaus GmbH Dresden 2.1. Leiter der verantwortlichen

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de CAU - Praktischer Datenschutz 1 Überblick Behördlicher und betrieblicher

Mehr

Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel

Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung Präambel Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) I. Zu 3 a KDO (Meldung von Verfahren automatisierter Verarbeitung) (1) Sofern Verfahren

Mehr

Datenverwendungsrichtlinien

Datenverwendungsrichtlinien Datenverwendungsrichtlinien Dies sind die Datenschutzbestimmungen für die myspot WEB-APP und das myspot WLAN, ein von der myspot marketing GmbH betriebenes Angebot. Mit diesen Datenschutzbestimmungen möchten

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Datenschutzhinweis Datenschutz bei NETTO Reifen-Räder-Discount Erhebung und Verarbeitung persönlicher Daten

Datenschutzhinweis Datenschutz bei NETTO Reifen-Räder-Discount Erhebung und Verarbeitung persönlicher Daten Datenschutzhinweis Datenschutz bei NETTO Reifen-Räder-Discount REIFF Reifen und Autotechnik GmbH bedankt sich für Ihren Besuch auf unserer Internetseite sowie über Ihr Interesse an unserem Unternehmen

Mehr

Datenschutz-Erklärung

Datenschutz-Erklärung Datenschutz-Erklärung Das Staatliche Museum für Naturkunde Stuttgart nimmt den Datenschutz ernst und misst dem Schutz Ihrer Persönlichkeitsrechte hohe Bedeutung bei. Wir verpflichten uns zur Einhaltung

Mehr

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Verantwortliche Stelle 1 Stand vom: 1. Bezeichnung des Verfahrens 2 2. Zweckbestimmung 3 und Rechtsgrundlage

Mehr

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche (Kirchliches Amtsblatt, Erzbistum Hamburg, Bd. 11, Nr. 3, Art. 36, S. 34 ff., v. 15. März 2005) Vorbemerkung: Der Schutz von Sozialdaten

Mehr

Datenschutzerklärung der Perfekt Finanzservice GmbH

Datenschutzerklärung der Perfekt Finanzservice GmbH Datenschutzerklärung der Perfekt Finanzservice GmbH Anschrift Perfekt Finanzservice GmbH Augustinusstraße 9B 50226 Frechen Kontakt Telefon: 02234/91133-0 Telefax: 02234/91133-22 E-Mail: kontakt@perfekt-finanzservice.de

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Erklärung zum Datenschutz für das mytalent-portal

Erklärung zum Datenschutz für das mytalent-portal Erklärung zum Datenschutz für das mytalent-portal 1. Allgemeines 1.1 Die vorliegende Datenschutzerklärung der Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.v., Hansastraße 27c, 80686

Mehr

Maßnahmebeschreibung DIA-AM

Maßnahmebeschreibung DIA-AM Maßnahmebeschreibung DIA-AM Bezeichnung: em@w: Zielgruppe: DIA-AM - Diagnose der Arbeitsmarktfähigkeit 33 Abs. 4 SGB IX Teilnehmer aus Rechtskreis SGB III (Zuweisung durch Agentur für Arbeit): ja Teilnehmer

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1. Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang

Mehr

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung...

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Stabsstelle Datenschutz Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch

Mehr

Outsourcing und Tracking in einer vernetzten Welt

Outsourcing und Tracking in einer vernetzten Welt Outsourcing und Tracking in einer vernetzten Welt Infobörse 2 Referent: Dr. Sven Polenz, ULD Moderation: Harald Zwingelberg, ULD Übersicht 1.1 Auftragsdatenverarbeitung öffentlicher/nichtöffentlicher Stellen

Mehr

Sie tätigen mit uns oder einer anderen Tochtergesellschaft des Lindt Konzerns Handelsgeschäfte,

Sie tätigen mit uns oder einer anderen Tochtergesellschaft des Lindt Konzerns Handelsgeschäfte, Diese Datenschutzrichtlinie ist auf dem Stand vom 05. November 2012. Die vorliegende Datenschutzrichtlinie legt dar, welche Art von Informationen von Chocoladefabriken Lindt & Sprüngli GmbH ( Lindt ) erhoben

Mehr

vom 15. Januar 1991 (ABl. 1991 S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

vom 15. Januar 1991 (ABl. 1991 S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis Verordnung zum Schutz von Patientendaten DSVO KH-Pfalz 50.02 Verordnung der Evangelischen Kirche der Pfalz (Protestantische Landeskirche) zum Schutz von Patientendaten in kirchlichen Krankenhäusern (DSVO

Mehr

Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren

Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren Stand: 20.12.2007 Inhaltsverzeichnis Vorbemerkung Ziff. 1 Ziff. 2 Ziff.

Mehr

Die EnergieNetz Mitte GmbH legt Wert auf den Schutz personenbezogener Daten.

Die EnergieNetz Mitte GmbH legt Wert auf den Schutz personenbezogener Daten. DATENSCHUTZERKLÄRUNG Die EnergieNetz Mitte GmbH legt Wert auf den Schutz personenbezogener Daten. Die EnergieNetz Mitte GmbH (nachfolgend EnergieNetz Mitte GmbH oder wir, Informationen erhalten Sie hier

Mehr

Kurzgutachten zur Erteilung eines Gütesiegels gemäß Datenschutzauditverordnung Schleswig- Holstein für das IT-Produkt BackStor, Version 1.

Kurzgutachten zur Erteilung eines Gütesiegels gemäß Datenschutzauditverordnung Schleswig- Holstein für das IT-Produkt BackStor, Version 1. Kurzgutachten zur Erteilung eines Gütesiegels gemäß Datenschutzauditverordnung Schleswig- Holstein für das IT-Produkt BackStor, Version 1.1 im Auftrag der Sachsen DV Betriebs- und Servicegesellschaft mbh

Mehr

Erstellung eines Verfahrensverzeichnisses aus QSEC

Erstellung eines Verfahrensverzeichnisses aus QSEC Erstellung eines Verfahrensverzeichnisses aus QSEC Im QSEC-Reporting-Modul steht ab der Version 4.2 ein neuer Bericht zur Verfügung. Es besteht nun die Möglichkeit, einen BDSG-konformen Datenschutzbericht

Mehr

3 HmbDSG - Datenverarbeitung im Auftrag

3 HmbDSG - Datenverarbeitung im Auftrag Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht 2 Datenschutz im Unternehmen Umgang mit Mitarbeiterdaten Neuregelung, Folgen, Praxisrelevante Fälle 1 3 Personenbezogene Daten Einzelangaben über persönliche

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Verfahrensverzeichnis nach 4g Bundesdatenschutzgesetz (BDSG) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Verfahrensverzeichnis nach 4g Bundesdatenschutzgesetz (BDSG) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz Verfahrensverzeichnis nach 4g Bundesdatenschutzgesetz (BDSG) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz Hauptblatt Zu den Ziff. - beachten Sie bitte die Ausfüllhinweise.

Mehr

Datenschutzerklärung für RENA Internet-Auftritt

Datenschutzerklärung für RENA Internet-Auftritt Datenschutzerklärung für RENA Internet-Auftritt Vielen Dank für Ihr Interesse an unserem Internetauftritt und unserem Unternehmen. Wir legen großen Wert auf den Schutz Ihrer Daten und die Wahrung Ihrer

Mehr

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf der Basis des folgenden Produktzertifizierungssystems

Mehr